Tutorial: Ampliación de la gobernanza a la corrección de puntos de conexión

  • Artículo

Defender for Cloud Apps ofrece opciones de gobernanza predefinidas para las directivas, como suspender a un usuario o hacer privado un archivo. Con la integración nativa con Microsoft Power Automate, puede usar un gran ecosistema de conectores de software como servicio (SaaS) para crear flujos de trabajo para automatizar procesos, incluida la corrección.

Por ejemplo, al detectar una posible amenaza de malware, puede utilizar flujos de trabajo para iniciar acciones de corrección de Microsoft Defender para punto de conexión, como la ejecución de un análisis antivirus o el aislamiento de un punto de conexión.

En este tutorial, aprenderá a configurar una acción de gobernanza de directivas para usar un flujo de trabajo para ejecutar un examen antivirus en un punto de conexión donde un usuario muestra signos de comportamiento sospechoso:

Nota:

Estos flujos de trabajo solo son relevantes para las directivas que contienen la actividad del usuario. Por ejemplo, no puede usar estos flujos de trabajo con directivas de detección o OAuth.

Si no dispone de un plan Power Automate, regístrese para obtener una cuenta de prueba gratuita.

Requisitos previos

  • Debe tener un plan válido de Microsoft Power Automate
  • Debe tener un plan de Microsoft Defender para punto de conexión válido.
  • El entorno de Power Automate debe estar sincronizado con Microsoft Entra ID, supervisado por Defender para punto de conexión y unido a un dominio.

Fase 1: Generación de un token de API de Defender for Cloud Apps

Nota:

Si ha creado previamente un flujo de trabajo mediante un conector de Defender for Cloud Apps, Power Automate reutiliza automáticamente el token y puede omitir este paso.

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

  2. En Sistema, elija Tokens de API.

  3. Seleccione +Agregar token para generar un nuevo token de API.

  4. En el elemento emergente Generar nuevo token, escriba el nombre del token (por ejemplo, "Flow-Token") y, a continuación, seleccione Generar.

    Screenshot of the token window, showing the name entry and generate button.

  5. Una vez generado el token, seleccione el icono de copia situado a la derecha del token generado y, a continuación, seleccione Cerrar. Necesitará el token más adelante.

    Screenshot of the token window, showing the token and the copy process.

Fase 2: Creación de un flujo para ejecutar un examen antivirus

Nota:

Si ha creado previamente un flujo mediante un conector de Defender para punto de conexión, Power Automate reutiliza automáticamente el conector y puede omitir el paso Iniciar sesión.

  1. Vaya al portal de Power Automate y seleccione Plantillas.

    Screenshot of the main Power Automate page, showing the selection of templates.

  2. Busque Defender for Cloud Apps y seleccione Ejecutar análisis antivirus con Windows Defender en las alertas de Defender for Cloud Apps.

    Screenshot of the templates Power Automate page, showing the search results.

  3. En la lista de aplicaciones, en la fila en la que aparece el conector Microsoft Defender para punto de conexión conector, seleccione Iniciar sesión.

    Screenshot of the templates Power Automate page, showing the sign-in process.

Fase 3: Configuración del flujo

Nota:

Si ha creado previamente un flujo mediante un conector de Microsoft Entra, Power Automate reutiliza automáticamente el token y puede omitir este paso.

  1. En la lista de aplicaciones, en la fila en la que aparece Defender for Cloud Apps, seleccione Crear.

    Screenshot of the templates Power Automate page, showing the Defender for Cloud Apps create button.

  2. En la ventana emergente de Defender for Cloud Apps, introduzca el nombre de la conexión (por ejemplo, "Defender for Cloud Apps Token"), pegue el token de API que ha copiado y, a continuación, seleccione Crear.

    Screenshot of the Defender for Cloud Apps window, showing the name and key entry and create button.

  3. En la lista de aplicaciones, en la fila en la que aparece HTTP con Azure AD, seleccione Iniciar sesión.

  4. En el menú emergente HTTP con Azure AD, para los campos URL de recursos base y URI de recursos de Azure AD, escriba https://graph.microsoft.com y, a continuación, seleccione Iniciar sesión y escriba las credenciales de administrador que desea usar con HTTP con el conector de Azure AD.

    Screenshot of the HTTP with Azure AD window, showing the Resource fields and sign-in button.

  5. Seleccione Continuar.

    Screenshot of the templates Power Automate window, showing the completed actions and continue button.

  6. Una vez que todos los conectores se hayan conectado correctamente, en la página del flujo, en Aplicar a cada dispositivo, modifique opcionalmente el comentario y el tipo de escaneado y, a continuación, seleccione Guardar.

    Screenshot of the flow page, showing the scan setting section.

Fase 4: Configuración de una directiva para ejecutar el flujo

  1. En el Portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas.

  2. En la lista de directivas, en la fila donde aparece la directiva pertinente, elija los tres puntos al final de la fila y, a continuación, elija Editar directiva.

  3. En Alertas, seleccione Enviar alertas a Power Automate y, a continuación, seleccione Ejecutar examen antivirus con Windows Defender tras una alerta de Defender for Cloud Apps.

    Screenshot of the policy page, showing the alerts settings section.

Ahora todas las alertas generadas para esta directiva iniciarán el flujo para ejecutar el análisis antivirus.

Puede usar los pasos descritos en este tutorial para crear una amplia gama de acciones basadas en flujo de trabajo para ampliar las funcionalidades de corrección de Defender for Cloud Apps, incluidas otras acciones de Defender para punto de conexión. Para ver una lista de flujos de trabajo predefinidos de Defender for Cloud Apps, en Power Automate, busque "Defender for Cloud Apps".

Consulte también

Integración con Power Automate para la automatización de alertas personalizada